Sblocco Password Cpu

[bleny]

Ciao a tutti,

ho usato un po' il tasto cerca e ho visto che l'argomento è già stato parecchio discusso ma questa volta ve lo propongo da un punto di vista diverso (lo dico subito per evitare di essere "sgridato" da Livio ).

In pratica, rispetto agli interventi che ho letto finora, sto dall'altra parte della barricata ovvero mi hanno aperto il software che era protetto dalla solita password della cpu.

Sinceramente non mi ero mai preoccupato troppo di verificare la facilità con cui fosse possibile bypassare questo tipo di protezione ma, evidentemente, avrei fatto meglio a dedicare un po' più di tempo all'argomento.

Fatta questa premessa qualcuno ha qualche suggerimento da darmi per proteggere il programma in modo più sicuro (escludendo la protezione know_how che già conosco)?

Grazie e saluti.

Massimo

[puntalino]

Non è molto chiara la tua domanda come protezione usa la password

[bleny]

Scusate, forse mi sono spiegato male.

Io avevo già usato la password e l'hanno tranquillamente scavalcata copiandosi tutti i blocchi: volevo sapere se esiste qualcosa di più resistente (oltre, come avevo già scritto, alla protezione know_how).

Ciao.

Massimo

[TRC]

Ma la tua password sarebbe il know how ?

Ti hanno sbloccato la password messa nella configurazione hardware nr.3 lettura / scrittura ?

[Gianmario Pedrani]

Se ti hanno aperto quella messa nella cpu... non hai altre strade, purtroppo quella è la pasword piu sicura per siemens

ciaoooooooo

[puntalino]

ma la password creata nella configurazione dovrebbe essere inacessibile o mi sbaglio

[Gianmario Pedrani]

ma la password creata nella configurazione dovrebbe essere inacessibile o mi sbaglio

Purtroppo nel mondo informatico non esiste niente di inaccessibile..

[puntalino]

gianmario ne sei sicuro se è cosi è propio un bel guaio

ma usando password con più caratteri alfanumerica diventa più complicato sproteggerla o è indifferente

Modificato: 26 gennaio 2008 da puntalino

[bleny]

Purtroppo ho scoperto che la password della configurazione è tutt'altro che inaccessibile.

E parlando con Siemens mi hanno detto che, attualmente, non hanno altri metodi di protezione; forse tra 2 o 3 anni con la nuova serie di plc.....

Per rispondere a puntalino non credo che la musica cambi molto rendendo la password più "complicata".

Per finire un consiglio: se la rimozione della password della cpu è mediamente facile, dimenticatevi di usare la protezione know_how, quella si leva in meno tempo che bere un caffè.

Ciao.

Massimo

[pigroplc]

Purtroppo non è possibile cautelarsi totalmente nella vita,

qualche anno fà ho collaborato con una software house per un breve lavoro, dopo 2 settimane dalla fine del lavoro hanno dichiarato fallimento, io non ho preso i soldi del mio lavoro, sono andato per avvocati, alla fine:

1) i soldi non li ho presi

2) loro sono ancora sul mercato sotto un diverso nome, ma sempre attivissimi.

Quindi l'unica precauzione che ho attuato è lavorare solamente con gente seria e lascio tutto sprotetto.

pigroplc

[Livio Orsini]

Se si usa la forza bruta, ciè si reitera il tentatvo fino a che la psw è trovata, incrementare il numero dei caratteri aumenta la sicurezza. Però oramai questa tecnica è ampiamente superata.

Nel caso delle pse del soft su PLC la debolezza della protezione è insita nel sistema. Ci deve essere comunque un colloquio tra il PLC ed il sistema di sviluppo, già quello è sufficiente per poter risalire non alla psw ma al blocco. Trovato dove c'è il blocco saltarlo è facile.

[alberto80vi]

ciao,

la tua domanda mi ha incuriosito,

ma come hanno fatto a superare la protezione Known_how,

esiste qualche programma per superarla???

ciao

[Livio Orsini]

Esiste tutto e di più.

PLCForum, anche se è a conoscenza di questo, non lo approva e si attiene alle vigenti leggi. Pertanto domande di come fare, anche se per sola curiosità, non ottengono risposta. Eventuali risposte saranno cancellate e gli autori sanzionati come previsto dal regolamento.

[bleny]

non addentriamoci in terreni "scivolosi".

Quello che posso dire è che, ovviamente, ci sono e che, neanche a dirlo, vengono presentati come aiuto per facilitare il lavoro dei programmatori (oppure, a scelta, vanno bene anche i soliti "scopi didattici").

Ciao.

Massimo

[Livio Orsini]

Quello che posso dire è che, ovviamente, ci sono e che, neanche a dirlo, vengono presentati come aiuto per facilitare il lavoro dei programmatori (oppure, a scelta, vanno bene anche i soliti "scopi didattici").

Purtroppo, come tutto quello che è umano, non è l'attrezzo il crimanale, bensì l'uso che ne fa l'uomo. E' un po' come un coltello. Il medeismo attrezzo lo posso usare per tagliare il pane o per uccidere la moglie.

Anch'io mi sonom esercita a superare password e blocchi software un po' per sfida e molto per imparare ad usare certi attrezzi ed ad acquisire conoscenze per non farmi fregare o per diminuirne le possibilità di successo.

Purtroppo i sistemi standard di protezione, proprio perchè standard, sono più facilmente aggirabili.

Io, quando ho dovuto proteggermi, ho evitato protezioni standard. Mi sono orientato su sistemi di complicazione, su funzioni che appaiono come inutili "giri di pista", ma che fannom si che o si riproduce esattamente il sistema Hw e Sw, o il sistema non funziona. Ma in genere chi copia non vuol riprodurre esattamente la macchina....

[kamikaze]

Le macchine che installo generalmente , non hanno la necessita' di salvagurdare , nessun tremendo segreto.

Ovviamente a nessuno fa' piacere spendere ore ad elaborare un complicato programma , per poi vederselo "soffiare" dal primo che arriva.

La mia paura principale e' il cliente , che non vada ad inventarsi cose nuove di sua sponte ,o a cercarsi nuovi fornitori, con il rischio di combinare danni , cosi' quando mi chiedono copia del programma, succede spesso, prima gli faccio firmare una bel documento di responsabilita' studiato appositamente a tavolino con l'avvocato, per salvaguardare in primis, le non autorizzate divulgazioni di proprieta' intellettuali.

In Secundis , se si puo' dire cosi', per esonerarmi da rischi inerenti un cattivo uso del programma, come la clessica eliminazione delle sicurezze e dei tanto odiati dai clienti "allarmi".

Questo dal mio punto di vista e' un buon metodo di salvaguardia funzionale di tipo "passivo" .

Una cosa mi lascia perplesso, cioe' quale puo' essere il motivo di violare la protezione di un programma , se non quello di riprodurne una copia a proprio uso e consumo?

A questo punto , nel mio ragionamento dico, chi ha bisogno di copiare qualcosa?

L'unica risposta che trovo e' , chi non sa fare quel programma.

Ma risucire ad aggirare , anche il piu' sofisticato metodo di protezione richiede tempo e capacita' notevoli.

Ergo Sum , se queste persone hanno tempo e capacita' notevoli, che cavolo si inventano di copiare dagli altri?

Ivan

[oiuytr]

Ergo Sum , se queste persone hanno tempo e capacita' notevoli, che cavolo si inventano di copiare dagli altri?

Vuoi mettere il risparmio di tempo che si ha copiando un programma invece che scriverlo da zero?

[Livio Orsini]

Ma risucire ad aggirare , anche il piu' sofisticato metodo di protezione richiede tempo e capacita' notevoli.

Ergo Sum , se queste persone hanno tempo e capacita' notevoli, che cavolo si inventano di copiare dagli altri?

Direi che questo è il nocciolo del problema.

Se voglio riparmiare tempo e danaro copio pari pari il tutto.

Se la macchina non è uguale ma molto simile, sempre per risparmiare, io costruttore della macchina mi rivolgo ad "elettricista" con qualche nozione sull'uso del plc affinchè adatti il lavoro già fatto alla nuova macchina.

A questo punto entra in gioco il tipo di protezione.

Se è quella standard, tramite password, non è necesaria molta competenza per saltarla. Purtroppo circolano molti tools di semplice uso, accessibili anche da tecnici con scarse conoscenze informatiche.

Spesso alcuni agenti delle case produttrici di PLC, persone di scarsa onestà, per incrementare il loro fatturato procurano questi programmi. Sottolineo alcuni, perchè la maggior parte degli agenti e commerciali sono persone serie che non fanno di questi regali.

Ecco perchè è, a mio giudizio, preferibile proteggersi dalle copiature con altri accorgimenti in vece di una password standard.

In questo caso, essendo necessaria una competenza di più alto livello, il fine non può essere la semplice copiatura ed a questo punto protezione o non protezione le cose non cambiano.

Modificato: 27 gennaio 2008 da Livio Orsini

[kamikaze]

Sono solo parzialmente d'accordo con voi , il tempo, ma il programma di un PLC, che si copia o che si tenta di copiare , e si spende tempo a proteggere non e' di certo un'applicativo di 8 Kb

Non per far funzionare una macchinetta qualsiasi spero ma qualcosa di ben piu' complesso, che ne so' la butto li' una supervisone magazzino , con lettori di codici a barre , RFID , scada , server raccolta dati.

I programmi non basta copiarli , bisogna adattarli alle proprie esigenze che solo in pochissimi casi sono identiche alla sorgente del programma ,bisogna interpretarli , entrare nella testa del programmatore, nessuno che conosco va' a fare una "fotocopia" del programma altrimenti in fase di collaudo o debug , spendi piu' tempo a capire come diavolo funziona , come e' stata pensata questa o quell'altra cosa , come posso modificarlo senza stravolgerne il funzionamento ed il tempo che perdi e' molto piu' di quanto avresti speso nel fartelo ex. novo.

Parlo per esperienza diretta , facendo anche il collaudo o modifiche "autorizzate!" di programmi per impianti fatti altri programmatori, e credetemi , lo studio di una modifica , e la messa in opera porta via a volte giornate intere.

Non oso immaginare chi fa' altrattanto sui miei programmi , dato che sono "il master of complications".

Forse per via della mia immensa ingenuita' credo che questo arrovellarsi tra password e protezioni sia una cosa fine a se stessa, del resto nella mia esperenza pluriennale non mi sono mai imbattuto in PLC protetti da password o altro.

La vedo piu' una megalomania , che spesso sfocia in disperate richieste di aiuto per password smarrite , dimenticate, inserite da colleghi che nel frattempo hanno cambiato azienda.

Che modo di vivere e lavorare e' mai?

Ivan

[bleny]

Perfettamente d'accordo con le ultime due risposte di Livio, anche perchè per aggirare le protezioni non servono capacità notevoli ma solo il tempo di cercare in internet il tool più adatto allo scopo. Se poi uno fosse particolarmente pigro c'è anche un gentilissimo signore (credo tedesco, se non ricordo male) al quale spedire la MMC e che, dietro pagamento di modico compenso, te la restituisce sprotetta

Tra l'altro, come diceva kamikaze, il problema può non essere la semplice copia ma, magari, modificare o scavalcare alcune funzioni: e se qualcuno (come potrebbe capitare con la macchina in questione) ci rimane secco o storpio vai a raccontare che la colpa non è tua ma di quell'altro!

Al di là di questo speravo di riuscire a implementare qualcosa di diverso ma finora non ho conlcuso molto; ad esempio speravo nell'esistenza di una qualche funzione di sistema che riconoscesse il collegamento del PG e da lì creare una piccola routine di gestione ma finora sono rimasto al palo... comunque se riesco a mettere insieme qualcosa vi tengo informati.

Ciao.

Massimo

[Livio Orsini]

Forse per via della mia immensa ingenuita' credo che questo arrovellarsi tra password e protezioni sia una cosa fine a se stessa, del resto nella mia esperenza pluriennale non mi sono mai imbattuto in PLC protetti da password o altro.

Probabilmente stiamo sostendo tesi simili.

Se un programma è piuttosto complesso (complesso non complicato) non dovrebbe essere facilmente copiabile.

Ho usato il condizionale perchè, purtroppo, spesso non è così.

Non parlo solo di "macchinette" dove c'è solo una 224 ed un'espansione di I/O digitali (o altri PLC di simile classe), ma anche di macchine più complese e complicate. Macchine con plurimotore con regolazioni abbastanza complesse.

Come avviene la truffetta? (perchè, stringi stringi, sempre di truffa si tratta)

Il costruttore della macchina comissiona il quadro elettrico, compreso di progettazione Hw e Sw. Ovviamente in fase di offerta tenta di far passare l'idea che è la prima di più macchine "tutte uguali", etc., etc.. Ovviamente essendo al macchina un po' complessa deve rivolgersi a qualche azienda di quadristica con le spalle robuste dal punto vista tecnico, oppure demandare la progettozione ad un professinasto esperto e capace. In genere si preferisce la prima soluzione perchè si crede di non pagare il progetto, o di pagarlo solo in parte. ma oramai è difficile trovare chi ci crede che potrà spalmare la progettazione su più macchine. Al limite si offre: "La prima fornitura la paghi X, le seguenti se sono identiche X-Y".

Ovviamente la macchina deve essere messa in servizio, nel senso di aggiustamento dei parametri di taratura, anche da un non esperto di programmazione.

Fatta la prima, dette le solite bestemmie dirante i collaudi per le solite dimenticanze, il solito meccanico che ha dato i rapporti sbagliati, etc., c'è una macchina che funziona, corredata degli schemi, dei manuali e dal software come da contratto.

Cosa succederà con le successive macchine? Qui scatta l'eventuale "furbizia". Anche se dalla seconda macchina l'azienda di automazione me la fatturerà ad X-Y, posso trovare un piccolo quadrista che me la farà pagare Z<<(X-Y)! Perchè? Perchè l'artigiano in questione ha meno spese, si accontenta di guadagnare di meno e perchè la cifra in ballo per lui è molto appetitosa (non importa cosa effettivamente gli resterà in mano). Condizione per fare la macchina a poco prezzo è che non deva muovere carta per progettare.

Elenco materiali e schema elettrico sono li, belli e pronti; al limite basterà rifarli al CAD, con gli attuali strumenti fare un reenginering magari scannerizzando gli schemi è quasi banale. Per il PLC è semplice si clona il preesistente, se c'era una psw c'è sempre il tizio pronto a fornirti il programmino per saltarla. Se non c'era, tanto di guadagnato: si fa ancora prima. Che importa se non si sa come va la macchina, se non si sa come funziona il programma: si è risparmiata una bella cifretta, questa è la sola cosa importante.

Poi se per disgrazia si dovesse fare una modifica al programma? Perchè mai modificarlo! Il cliente ti ha chiesto una variante? Ci sono mille e un modo per scoraggiare la richiesta. Ti condiziona un secondo grasso ordine all'effettuazione della modifica? Allora può valere la pena, ci si rivolge ad un "free lance" a cui si commissiona la modifica. Il progettista interpellato non vede ragione per non accettare: ha di fronte colui che si dichiare legale propietario del programma e che disposne di tutte le informazioni di base. Perchè si è rivolto a lui e non all'autore del programma stesso? Semplice è in atto un contenzioso tra l'autore ed il committente, sa questione di compensi richiesti e non dovuti... già capisco, sono cose che capitano.....

..speravo di riuscire a implementare qualcosa di diverso....

Si può sempre fare qualche cosa che è legato a qualche particolarità della macchina. Si deve sempre valutare se il gioco vale la candela.

Modificato: 27 gennaio 2008 da Livio Orsini

[batta]

Personalmente tutti sti discorsi sulla protezione dei programmi mi fanno un po' sorridere.

Ma cosa volete proteggere?

Ascoltate, se nel contratto è specificato che i proprietari del software siete voi, che il software non è cedibile a terzi e che non sono autorizzate copie, avete quanto basta per poter agire per vie legali.

A questo punto che il software fosse anche protetto da password, cosa cambia?

E poi sappiamo tutti benissimo che lavorare su un programma, che si tratti di plc o altro, di una certa complessità, senza documentazione, senza commenti, solo col codice, va bene solo se devi fare una copia identica.

Se ci devi mettere un po' le mani fai meno fatica a ricostruire un programma nuovo.

Sarà perché io non ho MAI messo una password sui miei programmi, sarà perché salvo casi particolari al cliente fornisco tutti i programmi con tanto di sorgenti e documentazione, ma la sola idea di proteggere un programma, ripeto, mi fa sorridere.

Anche la paura di perdere il cliente la ritengo di scarsa importanza. Io sostengo che il modo migliore per tenersi un cliente sia lasciarlo libero di scegliere. Questo, ovviamente, se lavori in modo decente e a cifre ragionevoli.

Personalmente mi sono trovato più volte nella condizione di acquisire un nuovo cliente che, stufo delle imposizioni dell'attuale fornitore, era disposto a sostenere la spesa per il rifacimento completo del programma, sapendo però che non era più legato a filo doppio ad un unico fornitore.

Se io fossi un cliente non accetterei MAI di acquistare una macchina con un software chiuso. Se devo fare una variante e la ditta fornitrice è fallita? Se il programmatore è scappato in Brasile? Se mi si ferma l'impianto e il tecnico è in Cina?

E poi magari critichiamo Guglielmo Cancelli.

Smettiamola con le protezioni! I clienti, per tenerseli stretti, vanno trattati bene. Se sono stati trattati bene ed ancora cercano scappatoie e sotterfugi per risparmiare, forse perderli non è un danno tanto grave.

[Beatrice_Ru]

Molte volte il programma per funzionare ha bisogno di dati o meglio parametri.

Cosa succede se tu copi una sorgente senza i giusti parametri, sicuramente la tua copia di Sorgente non potrà mai funzionare.

bene questo e' un metodo molto buono, per proteggere alcuni tuoi lavori.

Inoltre alcuni dati o parametri potrebbero risiedere non nel PLC, ma nel PC della tua macchina.

Nel PC della tua macchina e' molto più facile e sicuro proteggere questi Dati/Parametri.

Inoltre potresti inviare questi dati alla sorgente PLC, appoggiandoli su dei Flags (Merker), se non ricordo bene nel Siemens

non sono ritentivi (se non Specificato altrimenti).

Perciò potresti farti alcune sorgenti, molto importanti per te, il un linguaggio che poi puo' essere simil/compilato

come SCL.

In questo modo quando vai a richiedere particolari parametri di Formule, o altro li richiedi usando il linguaggio SCL.

Poi se lo compili, e ti tieni la Sorgente SCL, solo per te.

In AWL sarà molto arduo riuscire a capire cosa intendevi fare, e come hai realizzato il tuo Algoritmo.

Questo e' un metodo che io uso, quando per esempio ci sono algoritmi matematici, che hanno bisogno di coefficienti, parametri ed altro.

[bleny]

Riciao, mi fa piacere vedere che l'argomento suscita interesse....

Per Batta, senza ovviamente voler fare sterile polemica, ritengo che il discorso sia ottimo in teoria ma in pratica....

Supponiamo che io sia "piccolino" (che so una ditta individuale) e che un contratto blindato sia un po' difficile da mettere nero su bianco, anche perchè non fornisco solo il software e l'intero quadro elettrico ma anche parti meccaniche e relativa manodopera (in pratica occupandomi non solo di automazione ma della manutenzione e ricondizionamento a 360° di un ben preciso tipo di macchine).

Supponiamo adesso che il cliente stia a 1000 km più a est (diciamo ai confini della CEE) e che, guarda caso, non voglia pagarmi l'ultima parte di soldi che mi spetta; supponiamo infine che l'unico modo che ho di "convincerlo" sia dargli alcune piccole modifiche richieste successivamente... qualcuno indovina il finale di questa "ipotetica" storia tenuto conto che nel frattempo al mio plc si è collegato un programmatore del luogo e che, vista la distanza, la minaccia di azioni legali produce solo grasse risate?

Anche perchè, per come la vedo io, se uno vuole un programma aperto, ammesso che io glielo voglia dare, lo deve pagare di sicuro di più della stessa versione chiusa e non credo sia solo G.Cancelli a pensarla così: non mi risulta, solo per fare qualche esempio, che Siemens dia i sorgenti di Step7 (non li danno nemmeno degli FB delle biblioteche) o Autodesk quelli di Autocad (ovviamente senza voler nemmeno lontanamente paragonare il mio misero AWL ad altri ben più complessi software).

Per Beatrice. Il mio software era in AWL ma evidentemente, sforzandosi un po', sono riusciti a fare quello che gli interessava; in effetti avevo pensato anch'io all'SCL (che finora non ho mai usato) e quelli di Siemens mi hanno detto (attendo conferme o smentite) che non è possibile leggere il compilato che sta sulla cpu (un po' come succede con i pannelli): valuterò il da farsi.

Comunque grazie ancora a tutti per gli interventi.

Ciao.

Massimo

[Tak]

Ascoltate, se nel contratto è specificato che i proprietari del software siete voi, che il software non è cedibile a terzi e che non sono autorizzate copie, avete quanto basta per poter agire per vie legali.

A questo punto che il software fosse anche protetto da password, cosa cambia?

Vie legali,......... in Italia

Meglio prevenire, che pagare un avvocato